Op 12 maart 2021 heeft de Franse Raad van State (Conseil d’État) uitspraak gedaan in een zaak die nieuwe mogelijkheden creëert voor de doorgifte van persoonsgegevens naar de Verenigde Staten. De Conseil d’État heeft een kort geding afgewezen dat was aangespannen door beroepsverenigingen en vakbonden uit de Franse zorgsector. Zij eisten dat de samenwerking tussen het Franse ministerie van Sociale Zaken en Volksgezondheid en Doctolib, een toonaangevend Frans e-health bedrijf, met spoed werd opgeschort. In dit artikel leest u wat de aanleiding was van het kort geding en wat de (mogelijke) gevolgen zijn van de uitspraak voor het ongeldig verklaren van het Privacy Shield.
Achtergrond
In Frankrijk kunnen burgers, die zich willen laten vaccineren tegen COVID-19, online een vaccinatieafspraak maken bij een vaccinatiecentrum. Deze online service wordt aangeboden door Doctolib dat hiertoe opdracht heeft gekregen van de Franse overheid. Voor de hosting van de gegevens, die op het platform verzameld worden, maakt Doctolib gebruik van Amazon Web Service Sarl (hierna: AWS Sarl) dat is gevestigd in Luxemburg. De gegevens worden op servers in Frankrijk en Duitsland bewaard. AWS Sarl is een dochteronderneming van het Amerikaanse Amazon Web Services (AWS). Ondanks dat de gegevens op Franse servers zijn opgeslagen is sprake van doorgifte conform art. 44 AVG. De omstreden FISA-wetgeving is namelijk van toepassing op de Amerikaanse partij, waarbij het niet uitmaakt waar de gegevens worden opgeslagen.
De eerdergenoemde vakbonden en beroepsverenigingen (hierna: eisers) waren van mening dat er sprake was van een onrechtmatige inbreuk op de privacy van betrokkenen, [1] vanwege het ontbreken van aanvullende maatregelen naast de SCC. [2] Deze aanvullende maatregelen moeten genomen worden wegens het wegvallen van het Privacy Shield. Eisers stelden dat de hosting van gezondheidsgegevens door AWS Sarl in opdracht van Doctolib onverenigbaar was met de GDPR op grond van het Schrems II-arrest. Enerzijds vanwege de mogelijkheid van doorgifte van persoonsgegevens naar de Verenigde Staten (VS) en anderzijds vanwege het risico op een toegangsverzoek door Amerikaanse inlichtingendiensten.
AWS Sarl is als dochteronderneming van een Amerikaans bedrijf namelijk gebonden aan Amerikaanse wetgeving en de extraterritoriale werking daarvan. Op basis van Sectie 702 van de Foreign Intelligence ACT (FISA) kunnen Amerikaanse organisaties worden verplicht om toegang te verschaffen aan Amerikaanse inlichtingendiensten tot de gegevens die zij verwerken. Deze bevoegdheid hebben Amerikaanse inlichtingendiensten om bijvoorbeeld terrorisme tegen te kunnen gaan.
Voor een dergelijk toegangsverzoek van Amerikaanse inlichtingendiensten is het niet noodzakelijk dat de gegevens zich in de VS bevinden. Dat de gegevens zich op een server van een Amerikaans bedrijf bevinden is voldoende. AWS Sarl kan dus, ook in Europa, onderworpen worden aan een dergelijk toegangsverzoek.
Oordeel Conseil d’État
De voorzieningenrechter van het Conseil d’État, de Franse Raad van State (hierna: RvS), heeft bij de beoordeling van de zaak rekening gehouden met het Schrems II-arrest. Gelet op het bovenstaande en de mogelijkheid tot een Amerikaans toegangsverzoek, heeft de RvS zowel de technische als organisatorische aanvullende maatregelen die Doctolib heeft genomen beoordeeld. De RvS is nagegaan welk beschermingsniveau wordt geboden ten opzichte van de gegevens die door Doctolib van betrokkenen verwerkt worden.
De RvS constateerde dat de overeenkomst tussen Doctolib en AWS Sarl een clausule bevat met daarin een procedure voor het geval dat een Amerikaanse inlichtingendienst een toegangsverzoek doet. AWS Sarl garandeert in de overeenkomst dat het elk verzoek om toegang van een inlichtingendienst zal betwisten. Dit betekent dat AWS Sarl bezwaar zal maken tegen een dergelijk verzoek en dat men het tegelijkertijd zal voorleggen aan een bevoegde rechter.
Wat de technische waarborgen betreft, bleek dat de door AWS Sarl gehoste gegevens door of namens Doctolib versleuteld zijn door middel van encryptie. De sleutel van deze gegevens is in handen van een in Frankrijk gevestigde derde partij en dus ontoegankelijk voor AWS Sarl. Een dergelijke derde partij wordt een Trusted Third Party (TTP) genoemd. Een TTP is een onafhankelijke derde partij die ingezet kan worden voor diensten rondom de uitwisseling van gegevens tussen twee of meerdere partijen. Het kan hierbij gaan om diensten als pseudonimisering, versleuteling en ontsluiting van databestanden met (bijzondere) persoonsgegevens. De betrokken partijen kunnen zonder onevenredige inspanning de sleutel niet bij de TTP opvragen. Met de tussenkomst van een TTP in de EU kan gesteld worden dat er sprake is van passende waarborgen voor de bescherming van persoonsgegevens.
Verder heeft de RvS in haar oordeel meegenomen dat er enkel identificatiegegevens voor het maken van vaccinatieafspraken van betrokkenen worden verwerkt door AWS Sarl en dus geen gezondheidsgegevens. Daarnaast heeft de rechtbank in overweging genomen dat de gegevens drie maanden nadat de vaccinatieafspraak heeft plaatsgevonden worden gewist. Ook wordt betrokkenen de mogelijkheid geboden om hun gegevens desgewenst eerder te laten verwijderen.
Onder de bovengenoemde voorwaarden vond de rechter dat, gelet op de door de eisers genoemde risico’s, het beschermingsniveau van de gegevens van betrokkenen voldoende is gewaarborgd. Het verzoek om het platform van Doctolib stop te zetten werd daarom door de RvS afgewezen.
Conclusie
Anders dan in het Schrems II-arrest ging het in deze zaak niet om fysieke doorgifte van persoonsgegevens naar de VS (zoals bij Facebook het geval is), maar om het feit dat de in Europa gevestigde verwerker (AWS Sarl) een dochteronderneming is van een Amerikaans bedrijf (AWS). De beslissing van de RvS was gebaseerd op het feit dat AWS Sarl onderdeel is van AWS in de VS en derhalve onderworpen is aan Amerikaanse wetgeving. Hierdoor bestaat het risico dat Amerikaanse inlichtingendiensten kunnen verzoeken om toegang en daarmee de door AWS Sarl verwerkte gegevens in kunnen zien. Om die reden moest de RvS beoordelen of er voldoende organisatorische en technische maatregelen waren genomen om dit te voorkomen.
De uitspraak laat in ieder geval zien dat het mogelijk is om gegevens te laten hosten door een Amerikaanse partij met passende aanvullende organisatorische én technische maatregelen, waaronder encryptie met het sleutelbeheer door een TTP in de EU. Het feit dat AWS Sarl geen gezondheidsgegevens van Franse burgers hostte bleek eveneens een belangrijke factor voor het oordeel van de RvS. De vraag blijft daarom wel of de RvS anders had geoordeeld indien AWS Sarl wél gezondheidsgegevens had verwerkt en of de genomen waarborgen in dat geval voldoende waren om de risico’s van toegang tot deze (bijzondere categorieën van) persoonsgegevens door Amerikaanse autoriteiten te voorkomen.
De volledige uitspraak is hier beschikbaar (helaas alleen in het Frans).
Geeft uw organisatie ook persoonsgegevens door naar de Verenigde Staten of maakt u gebruik van Amerikaanse servers? Neem dan gerust vrijblijvend contact met ons op. Wij kunnen voor u beoordelen of er voldoende technische en organisatorische maatregelen zijn genomen.
[1] Betrokkenen zijn in dit geval de personen die een vaccinatieafspraak online boeken
[2] Standard Contractual Clauses (SCC): modelcontracten die door de Europese Commissie zijn vastgesteld. Deze bevatten bepalingen die passende waarborgen bieden door plichten en aansprakelijkheden van partijen vast te leggen.